Jeśli mam komputery z systemem Windows podłączone do domeny, a kontroler domeny przechodzi w tryb offline, jakiego zachowania mogę się spodziewać na klientach (zakładając, że nie ma drugiego kontrolera domeny?)
Czy użytkownicy będą mogli się zalogować? A może lepsze pytanie, jak zmienia się funkcjonalność logowania, jeśli w ogóle?
Oczywiście udziały plików w DC nie będą działać, ale co z udziałami między klientami lub między nimi a serwerem członkowskim?
Czy po odzyskaniu kontrolera domeny klienci muszą zrestartować się, wylogować / zalogować? Czy są jakieś długoterminowe konsekwencje odłączenia się od DC?
Ostatecznie interesuje mnie, jakich skarg powinienem oczekiwać od użytkowników, jeśli DC jest offline . Podaj wszelkie inne ważne informacje, których nie przedstawiłem.
Odpowiedzi:
Stanie się kilka rzeczy bez dostępnego DC:
Jeśli kontroler domeny jest jedynym serwerem DNS, pierwszą skargą, którą otrzymasz, jest to, że Internet jest zepsuty, ponieważ klienci nie mają DNS.
Ponieważ DC zwykle działają również w trybie DHCP, komputery w ogóle nie będą w stanie połączyć się z siecią. Komputery, które są już podłączone, będą działać przez jakiś czas.
Udziały plików, z którymi są już połączone, będą działały dobrze przez pewien czas (prawdopodobnie kilka godzin), aż do wygaśnięcia sesji. Gdy serwer plików przejdzie do weryfikacji swoich poświadczeń, nie będzie mógł rozmawiać z kontrolerem domeny i nie pozwoli nikomu się już połączyć.
Cokolwiek innego, co opiera się na uwierzytelnianiu active directory (takie jak witryny IIS, serwery VPN itp.), Nie pozwala ludziom się zalogować. W zależności od konfiguracji może natychmiast wykopać ludzi lub może kontynuować istniejące sesje i po prostu nie pozwolić na nowe.
W przypadku samych komputerów osoby, które ostatnio korzystały z komputera, nadal będą mogły się zalogować. Osoby, które nie korzystały wcześniej z urządzenia lub korzystały z niego dawno temu, nie będą miały żadnych haseł zapisanych w pamięci podręcznej, więc nie będą mogły się zalogować, dopóki nie zostanie przywrócone połączenie z kontrolerem domeny.
Odłączenie od kontrolera domeny wiąże się z długoterminowymi konsekwencjami - ostatecznie nikt nie będzie mógł zalogować się na konto domeny, ponieważ wszystkie hasła w pamięci podręcznej wygasły. Jeśli nie możesz ponownie połączyć się z kontrolerem domeny i nie masz włączonych żadnych kont lokalnych, możesz znaleźć się w sytuacji, w której musisz użyć narzędzi takich jak NTPasswd, aby włączyć konto administratora lokalnego.
Najlepszą praktyką dla kontrolerów domeny jest posiadanie co najmniej dwóch, jeśli są. Tak wiele w sieci Windows opiera się na Active Directory, że potrzebujesz redundancji. W mniejszej organizacji może ona dzielić role z serwerami plików, aczkolwiek unikaj udostępniania kontrolera domeny serwerowi z takimi rzeczami, jak sharepoint i exchange (utrudnia to prawidłowe przywracanie i uaktualnianie)
Jeśli dwa kontrolery domeny umrą, możesz po prostu ponownie zainstalować serwer Windows, skonfigurować go jako nowy kontroler domeny w istniejącej domenie i gotowe. W ogóle nie ma przestojów. W przypadku pojedynczego kontrolera domeny przywracanie może być trudne. Podczas przywracania masz zdenerwowanie, że nic nie mogą zrobić.
źródło
Zależy od czasu trwania. Po usunięciu usługi z sieci rzeczy stają się niewiarygodne, ale mogą się nie zepsuć. Jeśli chcesz ponownie uruchomić kontroler domeny, uwierzytelnianie / autoryzacja nie powinna być tak naprawdę przerywana. Ludzie będą logować się przy użyciu poświadczeń z pamięci podręcznej, skrzynki, które już się komunikują, będą to robić przy użyciu istniejących biletów Kerberos itp.
Aby ludzie mogli zalogować się na swoich komputerach przy użyciu kont buforowanych. Nie mogą zmieniać haseł itp.
Przez krótki czas (godziny, ale nie dni) wszyscy powinni mieć dostęp do udziałów plików również w DC, ale ostatecznie to przestanie działać.
Po odzyskaniu kontrolera domeny wszystko powinno się zregenerować.
Jest tu jednak duże zastrzeżenie. Jeśli używasz DC do DNS, jak tylko przejdzie w tryb offline, większość rzeczy przestanie działać, ponieważ klienci nie będą mogli znaleźć swoich serwerów. Nawet rzeczy niezależne od AD polegają na rozpoznawaniu nazw.
Najlepszym rozwiązaniem jest zbudowanie drugiego kontrolera domeny z zapasowym DNS, aby klienci mogli przełączać awaryjnie. Część AD nastąpi automatycznie, część DNS trzeba skonfigurować na klientach jako drugi serwer DNS na kliencie lub przez DHCP itp.
źródło